服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底破坏数据。
面临更加严峻的安全挑战,公司应增加对服务器安全的重视度和建设力度。挖矿木马做为现阶段服务器面临的最普遍的危害之一,是检测企业安全防御机制、环境和技术能力水平的试金石。如何有效应对这种安全危害,在此过程中促进公司网络安全能力的提高,必须变成企业安全管理者和网络安全厂商的共同目标。
安全防护建议:对网络服务器防护挖掘集团入侵的一般建议。Linux网站服务器SSH、WindowsSQLServer等服务器访问入口设置高强度的登录密码,Redis、HadoopYarn、Docker、XXL-JOB、Postgres等应用程序增加许可证,控制访问对象。如果服务器部署了经常暴露安全漏洞的网站服务器组件,如Weblogant、ApacheStruts、ApacheFlink、ThinkPHP等,密切关注相应组件的官方网站和主要安全制造商发布的安全通告,并按照提示信息及时修复有关漏洞,将有关组件更新到最新版本。
系统的检测和清除。检测是不是占有CPU资源接近100%以上的过程,找到过程对应的文件,确认是不是属于挖掘矿木马,Kill挖掘过程删除文件的kill包括下载恶意shell脚本代码的过程
检测/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中是不是有恶意的脚本下载命令,是不是有挖掘木马的命令,删除发现挖矿进程、恶意程序时,立即检查和修复网站服务器存在的系统漏洞、弱密码、网络应用漏洞。